プロセス・ハーパダーピングとは【用語集詳細】
プロセス・ハーパダーピング(Process Harpaderping)は、実行ファイルの上書きによってファイルに含まれる悪性コードを秘匿する、プロセス改ざん(タンパリング)技術です。プロセス・ハーパダーピングは、セキュリティ製品による検知を回避する目的で攻撃者やレッドチームに利用されます。
悪意あるコードを含む実行ファイルがイメージセクションに生成された後、別のファイルによって実行ファイルの上書きを行います。メモリ上にマッピングされた悪意あるコードが実行される間、上書きされたディスク上の元のファイルは無害なファイルとして残されるため、プロセス生成APIを監視するセキュリティ製品が元ファイルを解析しても悪性コードを特定することができません。
プロセス・ハーパダーピングはセキュリティ研究者Johnny Shaw氏によって公開されました(外部リンク)。なお、2021年にリリースされたMicrosoft社のSysmon 13.00はこの攻撃およびプロセスホローイングの検知に対応しています。
詳細なプロセス操作については、MBSD社がブログ記事(外部リンク)および動画を公開しています。
